Tworzenie katalogów
mkdir /etc/ssl/private /etc/ssl/certs /etc/ssl/newcerts etc/ssl/crl

Utworzenie pliku, który będzie zawierał listę certyfikatów
touch /etc/pki/CA/index.txt

Generowanie klucza prywatnego
openssl genrsa -des3 -out private/cakey.pem 1024

Trzeba wprowadzić od 4 do 1023 znaków, a następnie potwierdzić wprowadzając ciąg drugi raz. Po zakończeniu procedury w katalogu private pojawi się plik cakey.pem z kluczem naszego “Urzędu Certyfikacji”
Generowanie certyfikatu CA
Będąc w katalogu /etc/ssh wpisz polecenie
openssl req -new -x509 -days -key private/cakey.pem -out cacert.pem
Zostaniesz poproszony o wprowadzenie używanego wcześniej klucza oraz zadane zostanie kilka pytań:
- Country Name – tu wpisujesz skrót PL
- Stan lub nazwa prowincji – w przypadku Polski województwo
- Locality Name – Miasto
- Organization Name firma, szkoła itp.
- Organization unit dokładna nazwa organizacji
- Common name – twoja nazwa lub nazwa twojego serwera

Procedura tworzenia certyfikatu dla serwera
Utworzenie klucza prywatnego dla serwera
openssl genrsa -des3 -out private/serwer_key.pem

Wniosek o wystawienie certyfikatu dla serwera
openssl req -new -key private/serwer_key.pem -out serwer-req.pem (uwaga common name musi być inne)

Generowanie certyfikatu serwera
Modyfikacja pliku /etc/ssl/openssl.cnf
nano openssl.cnf
w linii dir trzeba zmienić ścieżkę do katalogu na /etc/ssl

Przygotowanie pliku serial. Najprościej zrobić to tak
echo 1000 > serial
Warto też zmienić prawa na 600 czyli chmod 600 serial
openssl ca -notext -in serwer-req.pem -out serwer.cert.pem
